Okta Classic Engineリリースノート(早期アクセス)

早期アクセス機能

複数のアクティブなIdP署名証明書

Oktaでは、単一のSAML IDプロバイダー(IdP)のアクティブな署名証明書を複数サポートするようになり、ダウンタイムなしでシームレスに証明書をローテーションできるようになりました。管理者はIdP接続毎に最大2枚の証明書をアップロードできます。この改善により、IdPパートナーと緊密に連携された交換を行う必要がなくなり、証明書の有効期限切れによる認証失敗のリスクが低減されます。この機能は、Admin ConsoleとIdP Certificates APIの両方で利用できます。

OIDC IDトークンのJSON Web暗号化

Oktaで保護されたカスタムアプリ統合のOIDC IDトークンを、JSON Web暗号化を使用して暗号化できるようになりました。「アプリ統合用のOIDC IDトークンを暗号化する」を参照してください。

カスタムアプリ向けの統合クレーム生成

統合クレーム生成は、Oktaで保護されたカスタムアプリ統合のクレーム(OIDC)および属性ステートメント(SAML)を管理するための、合理化された新しいインターフェイスです。グループクレームやユーザープロファイルクレームに加えて、新しいクレームタイプ「エンタイトルメント」(OIGが必要)、「デバイスプロファイル」「セッションID」「セッションAMR」「アプリ統合にカスタムクレームを構成する」を参照してください。

Identity Governance管理者アプリのMFAを強制適用する

Identity Governance管理者アプリのMFAの強制適用は、セルフサービスの早期アクセス機能として利用することはできなくなりました。この機能を有効または無効にするときは、管理者はOktaサポートに問い合わせる必要があります。「Admin ConsoleのMFAを有効にする」を参照してください。

LDAPでプロビジョニングされたユーザーのOUの移動

管理者がOktaをLDAPプロビジョニング設定に構成するときに、グループ割り当てを変更することでユーザーを別の組織単位(OU)に移動できるようになりました。「OktaをLDAPプロビジョニング設定に構成する」を参照してください。

OIDCトークンエンドポイントのネットワーク制限はプレビュー内のEAです

OIDCトークンのエンドポイントにネットワーク制限を適用して、トークンのセキュリティを強化できるようになりました。「OpenID Connectアプリ統合を作成する」を参照してください。

Okta Hyperspaceエージェント、バージョン1.5.1

このバージョンには、セキュリティ強化が含まれます。

Oracle EBS用On-prem Connector

Oracle EBS用On-prem Connectorは、Oracle EBSオンプレミスアプリをOkta Identity Governanceに接続します。これにより、管理者はOktaで直接Oracle EBSエンタイトルメントを検出、表示、管理できます。この統合により、セキュリティの強化、時間の節約、権限管理の合理化ができて、カスタム統合の必要性がなくなります。「Oracle EBS用On-prem Connector」と「On-prem Connectorでサポートされるエンタイトルメント」を参照してください。

Okta統合IdPタイプはプレビュー内のEAです

Okta統合IdPを使用すると、Okta orgを外部IdPとして使用でき、構成を簡素化して安全なデフォルトを提供できます。「Okta統合IDプロバイダーを追加する」を参照してください。

Oracle Human Capital Managementのプロビジョニング

Oracle Human Capital Managementアプリの統合でプロビジョニングが利用できるようになりました。アプリのプロビジョニングでは、エンタイトルメント管理やPrivileged Accessなどのセキュリティ機能を有効にできます。「Oracle Human Capital Management」を参照してください。

資格情報侵害の保護

侵害された資格情報の影響からorgを保護します。Oktaでは、サードパーティが選択したデータセットと比較した後、ユーザー名とパスワードの組み合わせが侵害されたと判断された場合、ユーザーパスワードのリセット、強制ログアウト、委任Workflowの呼び出しなど、パスワードポリシーにより保護応答をカスタマイズできます。「侵害された資格情報の保護」を参照してください。

この機能は5月15日から徐々に運用を開始しています。

Active DirectoryのDirSyncによるグループインポート

Active Directory(AD)統合のプロビジョニングタブに、DirSyncを使用したADによるインポートを有効にするチェックボックスが追加されました。チェックボックスを有効にすると、管理者はDirSyncを使用してグループの増分インポートを実行できます。「Active Directoryのインポートとアカウントの設定を構成する」を参照してください。

RingCentralで新しいデフォルト電話番号ロジックを使用する

RingCentralアプリ統合で電話番号を検出および入力するロジックが更新され、DirectNumberとIntegrationNumberの両方のエントリで動作するようになりました。

LDAPエージェント構成ファイルの変更をモニタリングするためのシステムログイベント

LDAP エージェントが構成ファイルの変更を検出すると、system.agent.ldap.config_change_detectedイベントが生成されます。

自動ローテーションによるOrg2OrgのOAuth 2.0プロビジョニング

複数orgアーキテクチャ(Oktaハブアンドスポークorgなど)をデプロイする管理者は、ユーザーとグループのプロビジョニングを保護する必要があります。OAuth 2.0スコープのトークンを使用したプロビジョニングには、より詳細なアクセス権限の設定、トークンの短い有効期間、キーの自動ローテーションなど、APIトークンに比べていくつかの利点があります。Admin Consoleから直接、Org2OrgアプリのプロビジョニングにOAuth 2.0の自動ローテーションを有効化できるようになりました。

Okta Org2OrgをOktaと統合する」を参照してください。

Okta Privileged AccessでActive Directoryアカウントを管理する

この機能により、Okta AD Agentを使用してOkta Privileged Accessを通じてActive Directory(AD)アカウントパスワードを管理できます。管理者は、特定の組織単位(OU)内のアカウントに検出ルールを設定し、ユーザーアクセスのポリシーを作成して、チェックイン時またはスケジュールに従ってパスワードがローテーションされるようにできます。アクセス権を持つユーザーは、割り当てられたアカウントを表示し、パスワードを取得できます。この機能を有効にする場合は、Oktaサポートにお問い合わせください。「Active Directoryアカウントを管理する」を参照してください。

新しいシステムログイベント

policy.evaluate_sign_onイベントに、新しいDebugData項目:IdpVerifiedFactorModeが追加されました。この新しい項目は、ユーザーがサービスプロバイダーを通じてサインインしたときに、IDプロバイダーで 1つまたは2つの要素を使用して認証したかどうかを示します。「システムログ」を参照してください。

システムログイベントの機能強化

policy.evaluate_sign_onイベントに、IdpVerifiedFactorMode項目が追加されました。これは、orgでクレーム共有が有効化されている場合に表示され、IDプロバイダーがユーザーの認証要素を検証したかどうかを示します。「システムログ」を参照してください。

SAP Netweaver ABAP用On-prem Connector

SAP NetWeaver ABAP用On-prem Connectorは、すぐに使用できるソリューションを提供し、SAPオンプレミスアプリをOkta Identity Governanceに接続します。これにより、Oktaで直接SAPエンタイトルメント(ロール)を検出、可視化、管理できます。この統合により、カスタム統合の必要性がなくなり、エンタイトルメント管理が合理化されることで、セキュリティの強化、時間の節約、ガバナンスの簡素化が実現します。

Universal Syncの新しい属性

Universal Syncでは、次の属性がサポートされるようになりました:AuthOrigDLMemRejectPermsDLMemSubmitPermsUnauthOrig

同期可能なパスキーをブロックする

認証中に同期可能なパスキーをブロックできるようになりました。以前は、登録中にのみブロックできました。これにより、ユーザーが同期可能なパスキーを提示して管理対象外の新しいデバイスを登録しようとすることを防ぎ、orgのセキュリティが強化されます。

アプリユーザーを非アクティブ化するためのセルフサービストグル

管理者はセルフサービストグルを使用して、Oktaユーザーの非アクティブ化時に個々のアプリ割り当てがどうなるのかを変更できるようになりました。有効にすると、ユーザーの個々のアプリの割り当てが一時停止ではなく非アクティブ化されます。ユーザーがOktaで再度アクティブ化されても、個々のアプリ割り当ては再アクティブ化されません。

切断されたアプリのエンタイトルメント対応

切断されたアプリとは、Okta内でLCM統合されていないアプリです。この機能を使用すると、CSVファイルを使用して、切断されたアプリからユーザーとエンタイトルメントをOktaにインポートできます。これにより、Oktaと完全に統合されていないアプリも含め、すべてのアプリで一貫したガバナンスとコンプライアンスが実現します。

インポートされたユーザーの再照合を強制する

この機能は完全インポートや増分インポートにかかわらず、プロファイルソースからインポートされた未確認ユーザーの再照合を強制します。インポートされたユーザーを既存のOktaユーザーと照合しようとします。この機能を有効にすると、すべてのインポートで未確認のユーザーの一致が再評価されます。

ユーザーのシステムログイベントのインポート中にエンタイトルメント同期をスキップする新機能

次のシステムログイベントが追加されました:ユーザーインポート中のエンタイトルメント同期のスキップ

Okta間のクレーム共有の強化

Okta間のクレーム共有では、シングルサインオン用のスマートカードAuthenticatorとActive Directoryの使用がサポートされるようになりました。これにより、ユーザーがすでにOkta orgに認証されている場合、サービスプロバイダーで認証する必要がなくなります。

SAP Netweaver ABAP用On-prem Connectorでサポートされる属性の追加

Okta On-prem Connectorでは、サポートされるユーザー属性が追加されて、OktaとSAP Netweaver ABAPとの統合が向上しました。